Ein tiefer Seufzer durchfรคhrt die Bankenbranche, sobald die Gesetzgeber eine neue Verordnung ankรผndigen. Die Behauptung, โRegulatorik ist das Lieblingsthema von Bankenโ, trieft vor Sarkasmus. Jetzt gibt es jedoch eine neue EU-Verordnung, auf die Banken mit stiller Akzeptanz reagieren: der Digital Operational Resilience Act, bekannt als DORA. Das Regelwerk tritt ab Januar 2025 fรผr europรคische Finanzunternehmen in Kraft und zielt darauf ab, die Risiken des digitalen Wandels fรผr Marktteilnehmer zu minimieren. Dazu gehรถren sichere Informations- und Kommunikationstechnologie (IKT)-Systeme, um die Betriebsstabilitรคt bei Cyberangriffen oder digitalen Stรถrungen zu gewรคhrleisten. Im Kern dreht sich das neue Regelwerk also um die IT. Ein wunder Punkt fรผr Banken โ obwohl IT und Banken gewissermaรen miteinander verheiratet sind, gefรคhrden neben Cyberrisiken auch veraltete Technik und Outsourcing die Informationssicherheit.
Problematischer Trend Outsourcing
Im Zuge der digitalen Transformation verstรคrkt sich der Trend, IT-Funktionen an Drittanbieter auszulagern. Insbesondere Cloud-Dienste werden von Banken zunehmend in Anspruch genommen. Dies kann problematisch sein, da hier das Risikomanagement einiger Banken noch erhebliche Schwachstellen aufweist. Die Auslagerungsvereinbarungen werden daher im Rahmen von DORA durch die Aufsicht schรคrfer kontrolliert. Eine weitere Aufsichtsprioritรคt stellen effektive Strategien fรผr die digitale Transformation dar. Allerdings droht hier ein Zielkonflikt: mit wachsender Digitalisierung und Innovation steigt auch die Gefahr von Cyberangriffen.
Der โState of the Internetโ-Bericht von Akamai untersuchte den Zuwachs an Cyberangriffen auf die Finanzdienstleistungsbranche zwischen dem zweiten Quartal 2022 und dem zweiten Quartal 2023. Er kam zu dem Ergebnis, dass Webanwendungs- und API-Angriffe in dieser Zeitspanne um 65 Prozent gestiegen sind. Richard Meeus, Director of Security Technology and Strategy, EMEA, bei Akamai fasst es wie folgt zusammen: โCyberkriminelle folgen nach wie vor dem Geld; so bleibt die Finanzdienstleistungsbranche ein รคuรerst attraktives Ziel. Gleichzeitig handelt es sich um einen der am stรคrksten regulierten Sektoren. Deswegen ist es fรผr Unternehmen unerlรคsslich, ihre Sicherheitsstrategie an neuen Gesetzen und Vorschriften auszurichten.โ
Um den Erwartungen des Regulators begegnen zu kรถnnen, muss eine weitere Herausforderung fรผr Banken im Bereich IT beseitigt werden: das fehlende Expertentum. Der Mangel an IT-Fachpersonal ist keine Neuigkeit. Laut einer aktuellen Studie der Unternehmensberatung McKinsey & Company fehlen bis 2030 rund 140.000 IT-Fachkrรคfte in Deutschland. Dem solle man dringlichst mit der Ausweitung von Weiterbildungsangeboten, flexibleren Arbeitsmodellen und einer Beschleunigung von Einstellungsverfahren begegnen, aber auch politische Fรถrderprogramme seien gefragt, so das Fazit der Studie.
Fokus auf Betriebsstabilitรคt
Im Unterschied zu anderen Verordnungen, wie etwa Network and Information Security 2 (NIS2), setzt DORA den Fokus auf die Betriebsstabilitรคt. Diese soll im ersten Halbjahr 2024 in Form eines an DORA angelehnten Cyber-Resilience-Stress-Tests auf den Prรผfstand gestellt werden. Eben solche รberprรผfungen werden um einen erheblichen Aspekt erweitert, welcher in bisherigen Penetrations- oder TIBER-Tests weniger Beachtung fand: das adรคquate Handeln der Verantwortlichen. Denn auch intern gilt es, sich den Spiegel vorzuhalten. Unwissenheit der Belegschaft โ besonders auf Vorstandsebene โ kรถnnen sich Banken in diesem Themenbereich kรผnftig nicht mehr leisten โ und das wissen sie auch. Die Zahlen im Wettkampf gegen Cyberkriminalitรคt sprechen fรผr sich und keine Bank wird dies auf sich sitzen lassen kรถnnen, wenn sie das Vertrauen ihrer Kunden auch kรผnftig wahren mรถchte.
Fiona Gleim absolvierte von August 2021 bis Dezember 2022 ihr redaktionelles Volontariat bei der BANKINGCLUB Plattform GmbH und ist seitdem auch als festes Redaktionsmitglied beschรคftigt. Davor schloss sie ihren Bachelor of Arts an der Universitรคt Kassel ab.